Действующий
12.3.15. Компьютерные атаки, связанные со сканированием программных портов объектов информационной инфраструктуры участников информационного обмена лицами, не обладающими соответствующими полномочиями [scanPorts] (для вектора [INT])
Номер блока (поля) данных | Идентификатор блока (поля) данных | Содержание блока (поля) данных | Формат поля данных | Формат электронного сообщения |
| 15 | "sourceId" (поле данных) | идентификатор, присвоенный участником информационного обмена | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена | "scanPorts": [{"sources": [{"ip": "127.0.0.1"}],"ports": ["23"],"method": "информация о методах сканирования или используемом для этого программном обеспечении","startTimeAt": "2018-03-22T08:14:38Z","endTimeAt": "2018-03-22T08:14:38Z"}], |
| 15.2 | "sources" (блок данных) | идентификаторы источников вредоносной активности | В случае необходимости указания нескольких значений поля данных (ip) указывается один или несколько объектов в блоке данных "sources" | |
| 15.2.1 | "ip" (поле данных) | IP-адрес | Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12] | |
| 15.3 | "ports" (поле данных) | номера портов, которые подверглись сканированию | текстовое поле (textarea) | |
| 15.4 | "method" (поле данных) | информация о методах сканирования или используемом для этого программном обеспечении | текстовое поле (textarea) | |
| 15.5 | "startTimeAt" (поле данных) | время начала сканирования | формат представления данных в соответствии со спецификацией RFC 3339 [11] | |
| 15.6 | "endTimeAt" (поле данных) | время окончания сканирования | формат представления данных в соответствии со спецификацией RFC 3339 [11] |
12.3.16. Иные компьютерные атаки, направленные на объекты информационной инфраструктуры участников информационного обмена и их клиентов [other] (для вектора [INT], [EXT])
| 16.1 | "description" (поле данных) | описание компьютерной атаки | текстовое поле (textarea) | "other": {"description": "описание компьютерной атаки","target": {"ip": "127.0.0.1","url": "http://example.com"},"type": "тип контента","attachment": {"sourceId": "f34030ef-358a-445c-8567-25985ce6d91c","comment": "примечание к вложению","dateTimeAt": "2018-03-22Т08:14:38Z","file": {"name": "имя файла","size": "размер файла в байтах","base64": "вложение в формате base64"},"fileLink": "http://domain.com/archive.rar"}}}, |
| 16.2 | "source" (блок данных) | идентификаторы иного источника вредоносного, запрещенного контента/ресурса | ||
| 16.2.1 | "ip" (поле данных) | IP-адрес | Логический адрес IPv4 должен соответствовать спецификации RFC 791 [12] | |
| 16.2.2 | "url" (поле данных) | URL-адрес | URL в соответствии со спецификацией RFC 3986 [15] | |
| 16.2.3 | "type" (поле данных) | иной тип запрещенного, вредоносного, измененного контента | текстовое поле (textarea) | |
| 16.3 | "attachment" (блок данных) | дополнительные данные для идентификации компьютерной атаки | ||
| 16.3.1 | "sourceId" (поле данных) | идентификатор, присвоенный участником информационного обмена | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена | |
| 16.3.2 | "comment" (поле данных) | описание вложения | текстовое поле (textarea) | |
| 16.3.3 | "dateTimeAt" (поле данных) | дата и время добавления файла | формат представления данных в соответствии со спецификацией RFC 3339 [11] | |
| 16.3.4 | "file" (блок данных) | файл данных, содержащий дополнительные материалы | Указывается наименование, размер файла (не более 5 Мб), выполняется кодировка в формате Base64 | |
| 16.3.5 | "fileLink" (поле данных) | ссылка для получения (скачивания) файла данных, содержащего дополнительные материалы | Указывается URL-адрес для скачивания файла, в случае если его размер превышает 5 Мб, в соответствии со спецификацией RFC 3986 [15] |
Номер блока (поля) данных | Идентификатор блока (поля) данных | Содержание блока (поля) данных | Формат поля данных | Формат электронного сообщения |
| 2.1 | "mainActions" (поле данных) | рекомендованные действия по противодействию компьютерной атаке | текстовое поле (textarea) | "mainActions": "рекомендованные действия по противодействию компьютерной атаке","signatures": [{"identifier": "идентификатор сигнатуры","yara": "yara-правило","snort": ["rule1","rule2"]}]}} |
| 2.2 | "signatures" (блок данных) | сигнатура | В случае необходимости указания нескольких значений полей данных (identifier, yara, snort) указывается один или несколько объектов в блоке данных "source" | |
| 2.3 | "identifier" (поле данных) | уникальный идентификатор сигнатуры | последовательность символов, полученных в результате вычисления хэш-функции MD5 | |
| 2.4 | "yara" (поле данных) | YARA-правило | текстовое поле (textarea) | |
| 2.5 | "snort" (поле данных) | Snort-правила | формат представления в виде: <Действие> <Протокол> |
13. Форма представления данных, используемая участниками информационного обмена для направления в Банк России информации о планируемых мероприятиях по раскрытию информации о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации, и сроки их представления в Банк России
[1] - информация блока (поля) данных представляется участником информационного обмена в рамках первичного уведомления не позднее одного рабочего дня до проведения мероприятия по раскрытию информации об инцидентах;
[2] - информация блока (поля) данных представляется участником информационного обмена в рамках последующего уведомления в случае изменения информации о возможном проведении мероприятия по раскрытию информации об инцидентах.
13.2. Идентификационные данные о планируемых мероприятиях по раскрытию информации об инцидентах. Блок данных [HEADER]
Номер блока (поля) данных | Идентификатор блока (поля) данных | Содержание блока (поля) данных | Формат поля данных | Формат электронного сообщения | Обязательность информирования | Этапы информирования |
| 1.1 | "schemaType" (поле данных) | тип электронного сообщения | Указывается значение [PUB] - публикация | {"header": {"schemaType": "pub","schemaVersion": "1","version": "1","memberId": "9527dd0c-0765-4f1c-8f5f-70a02cf4046c","sourceId": "f34030ef-358a-445c-8567-25985ce6d91c","publishedAt": "2002-10-02T15:00:00.05Z","modifiedAt": "2002-10-02T15:00:00.05Z"}. | [O] | [1], [2] |
| 1.2 | "schemaVersion" (поле данных) | версия схемы типа электронного сообщения | текстовое поле (textarea) | [O] | [1], [2] | |
| 1.3 | "version" (поле данных) | номер версии электронного сообщения в процессе информационного обмена | числовое значение (int) | [O] | [1], [2] | |
| 1.4 | "memberId" (поле данных) | идентификатор участника информационного обмена, присвоенный Банком России | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный Банком России | [O] | [1], [2] | |
| 1.5 | "sourceId" (поле данных) | идентификатор, присвоенный участником информационного обмена | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена | [O] | [1], [2] | |
| 1.6 | "publishedAt" (поле данных) | дата и время первичного информирования | формат представления данных в соответствии со спецификацией RFC 3339 [11] | [O] | [1], [2] | |
| 1.7 | "modifiedAt" (поле данных) | дата и время промежуточного информирования | формат представления данных в соответствии со спецификацией RFC 3339 [11] | [O] | [2] |
Номер блока (поля) данных | Идентификатор блока (поля) данных | Содержание блока (поля) данных | Формат поля данных | Формат электронного сообщения | Обязательность информирования | Этапы информирования |
| 2.1 | "orgName" (поле данных) | наименование организации - участника информационного обмена | текстовое поле (textarea) | "pub": {"orgFullName": "полное наименование участника информационного обмена","persons": [{"lastName": "фамилия","middleName": "отчество","firstName": "имя","landlineNumber": "городской телефон","mobileNumber": "мобильный телефон","email": "адрес электронной почты","position": "должность"}],"eventScheduledAt": "2002-10-02T15:00:00.05Z","location": {"subjectOfFederation": "00","locality": "наименование населенного пункта"},"description": "дополнительные сведения по мероприятию","typeOfActivity": ["тип планируемого мероприятия"],"nameOfActivity": "наименование планируемого мероприятия или ресурса, на котором планируется раскрытие информации","text": "текст к планируемому мероприятию","messageAttachment": {"sourceId": "f34030ef-358a-445c-8567-25985ce6d91c","comment": "описание вложения","dateTimeAt": "2018-03-22T08:14:38Z","file": {"name": "имя файла","size": "размер файла в байтах","base64": "вложение в формате base64"},"fileLink": "http://domain.com/archive.rar"}}} | [O] | [1], [2] |
| 2.2 | "persons" (блок данных) | контактные данные ответственного лица | В случае необходимости указания нескольких значений полей данных (lastName, middleName, firstName, landlineNumber, mobileNumber, email, position, eventScheduledAt) указывается один или несколько объектов в блоке данных "persons" | [O] | [1], [2] | |
| 2.2.1 | "lastName" (поле данных) | фамилия | текстовое поле (textarea) | [O] | [1], [2] | |
| 2.2.2 | "middleName" (поле данных) | отчество | текстовое поле (textarea) | [O] | [1], [2] | |
| 2.2.3 | "firstName" (поле данных) | имя | текстовое поле (textarea) | [O] | [1], [2] | |
| 2.2.4 | "landlineNumber" (поле данных) | городской телефон | текстовое поле (textarea) | [O] | [1], [2] | |
| 2.2.5 | "mobileNumber" (поле данных) | мобильный телефон | текстовое поле (textarea) | [O] | [1], [2] | |
| 2.2.6 | "email" (поле данных) | электронный адрес | Адрес электронного почтового ящика отправителя представляется в формате в соответствии со спецификацией RFC 5322 [18] | [O] | [1], [2] | |
| 2.2.7 | "position" (поле данных) | должность | текстовое поле (textarea) | [O] | [1], [2] | |
| 2.3 | "eventScheduledAt" (поле данных) | дата и время планируемого мероприятия (выступления) либо публикации по раскрытию информации об инцидентах | формат представления данных в соответствии со спецификацией RFC 3339 [11] | [O] | [1], [2] | |
| 2.4 | "location" (блок данных) | место проведения мероприятия (выступления) | [O] | [1], [2] | ||
| 2.4.1 | "subjectOfFederation" (поле данных) | код ОКТМО верхнего уровня | текстовое поле (textarea) | [O] | [1], [2] | |
| 2.4.2 | "locality" (поле данных) | наименование населенного пункта | текстовое поле (textarea) | [O] | [1], [2] | |
| 2.5 | "description" (поле данных) | дополнительные сведения по мероприятию | текстовое поле (textarea) | [O] | [1], [2] | |
| 2.6 | "typeofActivity" (поле данных) | тип планируемого мероприятия | Выбирается один или несколько кодов из ограниченного множества возможных значений: - [CNF] - конференция; - [PBE] - публикация на внешнем ресурсе (включая печатные издания); - [PBI] - публикация на собственном ресурсе участника информационного обмена (включая печатные издания) | [O] | [1], [2] | |
| 2.7 | "nameofActivity" (поле данных) | наименование планируемого мероприятия или ресурса, на котором планируется раскрытие информации | текстовое поле (textarea) | [O] | [1], [2] | |
| 2.8 | "text" (поле данных) | текст к планируемому мероприятию | текстовое поле (textarea) | [O] | [1], [2] | |
| 2.9 | "messageAttachment" (блок данных) | описание раскрываемой информации | [N] | [1], [2] | ||
| 2.9.1 | "sourceId" (поле данных) | идентификатор, присвоенный участником информационного обмена | 128-битный идентификатор (GUID), сформированный в соответствии со спецификацией RFC 4122 [16], присвоенный участником информационного обмена | [N] | [1], [2] | |
| 2.9.2 | "comment" (поле данных) | описание вложения | текстовое поле (textarea) | [N] | [1], [2] | |
| 2.9.3 | "dateTimeAt" (поле данных) | дата и время добавления файла | формат представления данных в соответствии со спецификацией RFC 3339 [11] | [N] | [1], [2] | |
| 2.9.4 | "file" (блок данных) | файл данных | Указывается наименование, размер файла (не более 5 Мб), выполняется кодировка в формате Base64 | [N] | [1], [2] | |
| 2.9.5 | "fileLink" (поле данных) | ссылка для получения (скачивания) файла данных, содержащего дополнительные материалы | Указывается URL-адрес для скачивания файла, в случае если его размер превышает 5 Мб, в соответствии со спецификацией RFC 3986 [15] | [N] | [1], [2] |
14. Условия представления Банку России участниками информационного обмена данных о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации
[MTR_WC] - получение оператором по переводу денежных средств, обслуживающим плательщика, включая оператора электронных денежных средств, уведомлений в предусмотренной договором форме от клиентов - физических, юридических лиц, индивидуальных предпринимателей или лиц, занимающихся частной практикой, о случаях и (или) попытках переводов денежных средств без согласия клиента, в том числе об использовании электронных средств платежа;
[A_SC] - получение расчетным центром платежной системы уведомлений от участников платежной системы о списании денежных средств с их корреспондентских счетов без их согласия и (или) с использованием искаженной информации, содержащейся в распоряжениях платежных клиринговых центров или участников платежной системы;
[UO_WC] - выявление оператором по переводу денежных средств, обслуживающим плательщика, включая оператора электронных денежных средств, операций, соответствующих признакам осуществления перевода денежных средств без согласия клиента, установленным Банком России и размещаемым на официальном сайте Банка России в сети Интернет;
[FMA_WC] - получение уведомлений от клиентов - физических лиц, и (или) индивидуальных предпринимателей, и (или) физических лиц, занимающихся в установленном законодательством Российской Федерации порядке частной практикой, и (или) юридических лиц об осуществлении незаконной финансовой операции;
[MTR_UA] - выявление оператором по переводу денежных средств, обслуживающим плательщика, включая оператора электронных денежных средств, операций по переводу денежных средств и получения наличных денежных средств, совершенных в результате несанкционированного доступа к объектам информационной инфраструктуры оператора по переводу денежных средств, в том числе при уменьшении остатка электронных денежных средств, за исключением виртуальных платежных карт;
[FMS_UA] - выявление незаконных финансовых операций, совершенных в результате несанкционированного доступа к объектам информационной инфраструктуры некредитной финансовой организации;
[UPT_PSP] - осуществление несанкционированного снятия денежных средств оператора по переводу денежных средств в банкоматах;
[DT_ALL] - неоказание услуг оператора по переводу денежных средств в период более двух часов в целом по всем субъектам Российской Федерации, в которых оператор по переводу денежных средств осуществляет перевод денежных средств с использованием платежных карт, их реквизитов и (или) систем (средств) дистанционного банковского обслуживания;
[DT_SEL] - неоказание услуг оператора по переводу денежных средств в период более двух часов в целом по отдельным субъектам Российской Федерации, в которых оператор по переводу денежных средств осуществляет перевод денежных средств с использованием платежных карт, их реквизитов и (или) систем (средств) дистанционного банковского обслуживания;
[UPT_EMP] - осуществление несанкционированного снятия денежных средств оператора электронных денежных средств в банкоматах;
[DTPT_SC] - невыполнение расчетным центром в течение операционного дня расчетов для принятых к исполнению распоряжений платежного клирингового центра или участников платежной системы;
[DT_CC] - прерывание клиринговым центром оказания услуг платежного клиринга на период более чем один операционный день;
[DTPT_CC] - невыполнение клиринговым центром в течение операционного дня платежного клиринга для принятых к исполнению распоряжений участников платежной системы;
[DT_OC] - прерывание операционным центром предоставления операционных услуг на период более двух часов;
[DT_FS_ALL] - неоказание услуг финансовой организацией в период более двух часов в целом по всем субъектам Российской Федерации, в которых финансовая организация предоставляет финансовые услуги;
[DT_FS_SEL] - неоказание услуг финансовой организацией в период более двух часов в целом по отдельным субъектам Российской Федерации, в которых финансовая организация предоставляет финансовые услуги -
14.2. Выявление участником информационного обмена компьютерных атак, последствия от реализации которых могут привести к событиям, указанным в пункте 14.1:
[PSP_CMTR] - выявление оператором по переводу денежных средств, включая оператора электронных денежных средств, и (или) оператором услуг платежной инфраструктуры атак, последствия от реализации которых могут привести к случаям и попыткам осуществления переводов денежных средств без согласия клиента;
[CO_CFS] - выявление кредитной организацией компьютерных атак, последствия от реализации которых могут привести к случаям и попыткам осуществления финансовой (банковской) операции без согласия клиента;
[NCFI_CFS] - выявление некредитной финансовой организацией компьютерных атак, последствия от реализации которых могут привести к случаям и попыткам осуществления операции на финансовом рынке без согласия клиента.
Объекты компьютерных атак | Типы компьютерных атак | ||||||||||||||||
выявление компьютерной атаки на внешнем периметре информационной инфраструктуры | выявление компьютерной атаки на внутреннем или внешнем периметре информационной инфраструктуры | выявление компьютерной атаки во внутреннем периметре информационной инфраструктуры | выявление компьютерной атаки в отношении клиентов или работников участника информационного обмена | выявление компьютерной атаки, направленной на элементы платежной инфраструктуры | иные виды атак | ||||||||||||
Системные уровни | [ddosAttacks] | [trafficHijackAttacks] | [vulnerabilities] | [spams] | [phishingAttacks] | [maliciousResources] | [malware] | [controlCenters] | [bruteForces] | [scanPorts] | [socialEngineering] | [sim] | [atmAttacks] | [prohibitedContents] | [changeContent] | [other] | |
| [hw] - аппаратное обеспечение | V | V | V | V | V | V | V | V | |||||||||
| [net] - сетевое оборудование | V | V | V | V | V | V | V | V | V | ||||||||
| [net_s] - сетевые приложения и сервисы | V | V | V | V | |||||||||||||
| [hw_s] - серверные компоненты виртуализации, программные инфраструктурные сервисы | V | V | V | V | V | V | |||||||||||
| [os] - операционные системы, системы управления базами данных, серверы приложений | V | V | V | V | V | ||||||||||||
Уровень АС и приложений, эксплуатируемых для предост авления услуг в рамках бизнес-процессов или технологических процессов участника информационного обмена | [ddosAttacks] | [trafficHijackAttacks] | [vulnerabilities] | [spams] | [phishingAttacks] | [maliciousResources] | [malware] | [controlCenters] | [bruteForces] | [scanPorts] | [socialEngineering] | [sim] | [atmAttacks] | [prohibitedContents] | [changeContent] | [other] | |
| [rbs] - система дистанционного банковского обслуживания | V | V | V | V | V | V | |||||||||||
| [front-office] - система обработки транзакций, осуществляемых с использованием платежных карт | V | V | V | V | V | V | V | ||||||||||
| [web] - информационные ресурсы сети Интернет | V | V | V | V | V | ||||||||||||
| [abs] - автоматизированная банковская система | V | V | V | V | V | V | |||||||||||
| [back-office] - система посттранзакционного обслуживания операций, осуществляемых с использованием платежных карт | V | V | V | V | V | V | |||||||||||
| [int-services] - внутренняя информационная инфраструктура, направленная на поддержание бизнес-процессов участника информационного обмена (почтовые серверы, файловые серверы) | V | V | V | V | V | V | V | V | |||||||||
| [participant_w] - оконечное оборудование (АРМ), используемые работниками участника информационного обмена | V | V | V | V | V | V | V | ||||||||||
Уровень АС и приложений, эксплуатируемых клиентом участника информационного обмена | [ddosAttacks] | [trafficHijackAttacks] | [vulnerabilities] | [spams] | [phishingAttacks] | [maliciousResources] | [malware] | [controlCenters] | [bruteForces] | [scanPorts] | [socialEngineering] | [sim] | [atmAttacks] | [prohibitedContents] | [changeContent] | [other] | |
| [cfs] - файловый сервер | V | V | V | V | |||||||||||||
| [crbs] - система дистанционного банковского обслуживания | V | V | V | V | V | ||||||||||||
| [ecs] - учетная запись электронной почты | V | V | V | V | |||||||||||||
| [client_w] - автоматизированные системы, используемые работниками клиента участника информационного обмена | V | V | V | V | V | V | |||||||||||
Иная система | [ddosAttacks] | [trafficHijackAttacks] | [vulnerabilities] | [spams] | [phishingAttacks] | [maliciousResources] | [malware] | [controlCenters] | [bruteForces] | [scanPorts] | [socialEngineering] | [sim] | [atmAttacks] | [prohibitedContents] | [changeContent] | [other] | |
| [oth] - иная система | V | V | V | V | V | V | V | V | V | V | V | V | V | V | V | V | |